더 넓고 촘촘하게: Google Security Operations의 새로운 파트너 지원 생태계

해당 블로그의 원문은 2026년 4월 23일 Google Cloud 블로그(영문)에 게재되었습니다. 

보안 팀은 원격 분석 데이터(telemetry), 경고(alerts), 대응 플레이북을 수동으로 연결해야 하는 부담에 자주 시달립니다. 이러한 파편화는 가시성을 제한하고, 경고 피로도(alert fatigue)를 증가시키며, 조사 속도를 지연시킬 수 있습니다.

현대 기업을 방어하려면 함께 원활하게 작동하는 도구가 필요합니다. 오늘 Google Cloud Next에서 우리는 Google Cloud 보안 통합 에코시스템(Google Cloud Security integration ecosystem)의 일환으로 Google Security Operations를 위한 강력한 신규 파트너 통합 코호트를 발표하게 되어 매우 기쁩니다. 

즉시 사용 가능한(out of the box) 고충실도 보안 워크플로우를 제공하도록 설계되었으며, 300개 이상의 벤더가 속한 당사의 에코시스템에 새롭게 합류한 파트너는 다음과 같습니다: Beacon Security, Contrast Security, Darktrace, Gigamon, GreyNoise, Intezer, Prophet Security, SAP, Synqly, Thinkst, Tidal Cyber, Torq, 그리고 Vali Cyber. 

다음은 파트너들이 Google Security Operations 에코시스템 내에서 어떻게 구축하고 있는지, 지원되는 통합 유형은 무엇인지, 그리고 보안 운영 센터(SOC)가 이를 어떻게 활용할 수 있는지에 대한 내용입니다.

구체성과 깊이: 지원되는 통합 유형

Google Security Operations 플랫폼은 몇 가지 뚜렷한 통합 패턴을 지원합니다. 현재 코호트가 특정 기술 역량을 제공하기 위해 이러한 아키텍처를 사용하는 방법은 다음과 같습니다.

1. 스택 전반의 심층적인 가시성을 위한 데이터 피드 통합이러한 통합은 중요한 원격 분석 데이터를 Google Security Operations 데이터 레이크로 직접 파이프(pipe)하며, 당사의 통합 데이터 모델(UDM) 스키마에 사전 매핑되어 있으므로 팀에서 사용자 지정 파서(parsers)를 작성할 필요가 없습니다.

• Beacon Security: 정규화된 데이터와 원시 데이터 모두의 수집(ingestion)을 설계합니다. Beacon은 API, syslog, 웹훅 및 클라우드 스토리지를 포함한 소스에서 데이터를 수집하여 모니터링 범위를 확장합니다. 실시간 스트리밍 파이프라인을 사용하여 이러한 원시 이벤트를 몇 분 만에 즉시 사용 가능한 UDM 매핑으로 직접 정규화합니다. 데이터가 Google Security Operations에 도달하기도 전에, Beacon은 보안 중심의 데이터 축소를 적용하여 탐지 충실도를 유지하면서 이벤트를 필터링하고 집계합니다. 마지막으로 AI 기반 데이터 오케스트레이션 및 지속적인 보안 데이터 태세 관리를 사용하여 수집 상태를 추적하고 사각지대가 침해 사고로 이어질 위험을 줄이는 데 도움을 줍니다.

• Contrast Security ADR: Contrast ADR 및 Google Security Operations 통합을 통해 애플리케이션 계층 공격을 탐지, 조사 및 대응합니다. 검증된 런타임 공격 원격 분석 데이터가 Google의 UDM으로 스트리밍되어, 확인된 익스플로잇(exploits)을 케이스로 자동 표시하고 애플리케이션 계층의 탐지 결과를 WAF, EDR 도구 및 데이터베이스 보안 센서의 신호와 상호 연관시키는 목적별(purpose-built) 탐지 규칙을 구동합니다.

• Gigamon GigaVUE Cloud Suite: 조직이 하이브리드 클라우드 환경 전반에서 가시성 공백을 해소할 수 있도록 돕는 새로운 통합을 도입합니다. 이 통합은 패킷, 흐름, 메타데이터를 포함하여 Gigamon에서 제공하는 실행 가능한 애플리케이션 및 네트워크 파생 원격 분석 데이터를 통해 Google Security Operations의 역량을 증폭시켜, 팀이 위협을 조기에 탐지하고 더 높은 정밀도로 조사하는 데 필요한 컨텍스트를 제공합니다.

• SAP Logserv: SAP Logserv와 보안 운영 간의 가시성 격차를 해소하여, 분석가가 기존 IT 환경과 함께 SAP에 특화된 위협을 탐지, 조사 및 대응할 수 있도록 지원합니다. 이 통합은 즉시 사용 가능한 수집 기능을 제공하며, SAP 전용 표준 파서를 사용하여 복잡한 원시 인프라 및 애플리케이션 로그를 UDM 형식으로 정규화합니다. 이를 통해 팀은 통합된 전사적 가시성을 확보하여 비즈니스에 필수적인 데이터를 방어하는 동시에, 깊이 있는 SAP 기술 전문 지식이나 사용자 지정 로그 파이프라인의 필요성을 줄일 수 있습니다. 이 통합은 SAP와의 파트너십을 통해 Google에서 개발했습니다. 

• Synqly Mesh: Google Security Operations의 UDM과 개방형 사이버 보안 스키마 프레임워크(OCSF) 간에 양방향 데이터 정규화를 수행하는 통합 API를 제공합니다. 이벤트 수집 구성(Sink)은 물론 완벽한 양방향 SIEM 연결을 지원합니다.

• Vali Cyber Zero Lock: 하이퍼바이저 수준의 보안 이벤트를 기존 Google Security Operations 워크플로우로 직접 스트리밍합니다. 이 통합은 새롭게 떠오르는 ESXi 위협에 대한 가시성을 제공하며, 가상 인프라를 보호하고 정상적으로 작동하도록 돕기 위해 설계되었습니다.

2. 간소화된 경고 및 케이스 관리를 위한 대응(Response) 통합 이러한 통합은 워크플로우에 직접 연결(hook)되어 외부 플랫폼이 경고 전달을 트리거하고, 케이스를 생성하며, 자동화된 작업을 실행할 수 있도록 합니다.

• Darktrace: 현재 개발 중인 이 대응 통합을 통해 Google Security Operations는 Darktrace 인시던트(Incidents) 및 모델 경고(Model Alerts)를 수집할 수 있습니다. API 또는 웹훅을 통해 사전 파싱된 원시 로그를 가져옴으로써, 이 통합은 경고 전달을 간소화하고 케이스를 관리하며 자동화된 대응 조치를 트리거하는 데 필요한 네트워크 컨텍스트를 팀에 제공합니다.

• GreyNoise: Google Security Operations의 탐지 및 대응 역량을 강화하는 새로운 통합입니다. SIEM과 SOAR를 모두 아우르는 이 통합은 표준화된 지표(indicator) 수집, 사전 구축된 대시보드, YARA-L 탐지 규칙, 저장된 검색, 웹훅 지원, 대응 조치 및 즉시 배포 가능한 플레이북을 제공합니다.

• Thinkst Canary: Google Security Operations SOAR와 직접 통합되어 보안 팀이 신뢰도 높은 Canary 인시던트를 실행 가능한 케이스로 수집할 수 있도록 합니다. 이 통합은 전체 경고 컨텍스트를 보존하고 IP 주소 및 호스트 이름과 같이 추출된 엔티티(entities)를 표시하며, 분석가가 Google Security Operations 워크플로우를 벗어나지 않고도 인시던트를 인지(acknowledge)할 수 있게 해줍니다. 

• Torq: AI SOC 플랫폼을 Google Security Operations에 도입하여 위협 수명 주기 자동화를 지원합니다. Torq는 API를 통해 탐지 결과를 직접 가져오고, 노이즈를 필터링하기 위해 에이전틱 AI 기반의 자동 분류(auto-triage)를 적용하며, 보안 스택 전반에서 엔드포인트 격리 또는 액세스 권한 취소와 같은 자율적인 대응 조치를 실행하는 동시에 Google Security Operations의 케이스 상태를 최신으로 유지합니다.

3. Google Security Operations 데이터 가져오기 (양방향 API 워크플로우) 보안은 단일 콘솔에서만 이루어지지 않습니다. 이러한 통합은 보안 API를 사용하여 Google Security Operations의 탐지 결과와 인텔리전스를 파트너 플랫폼으로 기본적으로(natively) 가져와 도구 간의 격차를 해소합니다.

• Intezer: 기존 환경을 벗어나지 않고도 Google Security Operations 탐지 결과를 기본적으로 쿼리, 조사 및 분류할 수 있습니다. Google Security Operations 경고를 Intezer로 직접 자동 수집하며, 활성 조사 중에 기본 Google Security Operations 데이터를 쿼리하여 자율적인 분류(triage)를 주도합니다. 이 양방향 워크플로우는 팀이 전체적인 상황을 파악할 수 있도록 보장하여 콘솔 간 이동 필요성을 없애고, 수동 데이터 수집을 줄이며, 분석가가 고차원적인 의사 결정과 신속한 대응에 집중할 수 있도록 해줍니다.

• Prophet Security: Google Security Operations와 통합되어 AI 기반의 경고 조사 및 자연어 위협 헌팅을 제공합니다. 경고를 자동 수집하고, 실시간 UDM 이벤트 컨텍스트를 위해 Chronicle API를 쿼리하며, 분석가의 업무량 감소를 목표로 조사 결과 및 주석을 Google Security Operations에 양방향으로 동기화하도록 설계되었습니다.

• Tidal Cyber: 사이버 방어 인텔리전스(CDI) 환경에서 구성 및 정책 데이터를 가져옵니다. Google Security Operations에서 ATT&CK 매핑된 큐레이션 탐지 규칙 및 사용자 생성 규칙을 검색할 수 있습니다. 또한 탐지 규칙 상태를 Tidal과 동기화하여 활성화 및 비활성화된 기능을 반영합니다. 제품의 기능과 현재 환경에서 활성화된 기능을 모두 파악함으로써 Tidal은 구성의 공백을 식별하고 정책이 변경될 때 방어 스택 및 커버리지 맵을 정확하게 유지하도록 돕습니다.

모든 파트너 통합에 대한 자세한 내용은 당사의 기술 문서(technical documentation) 또는 Google Security Operations 콘텐츠 허브(Content Hub) 콘솔에서 확인할 수 있습니다.

오늘 바로 방어 체계를 통합하십시오

Google Cloud 보안 통합 에코시스템에 합류하고자 하는 기술 벤더 및 개발자는 Google Security Operations 빌드 파트너 가이드(Build Partner Guide)를 다운로드하여 당사의 UDM 스키마 및 API 요구 사항을 이해하는 것으로 시작할 수 있습니다. 또한 Google Cloud 보안 기술 파트너 팀(Security Tech Partners team)에 연락하여 다음 릴리스 주기에 맞춰 빌드를 가속화할 수 있는 개발 환경을 요청하시기 바랍니다.

Next ‘26의 모든 보안 관련 발표 내용은 여기에서 확인하실 수 있습니다.